La CNIL inflige à Discord une amende de 800 000 euros

Discord n’échappe pas à la sanction, mais fait amende honorable : la Commission nationale de l’informatique et des libertés (CNIL) a annoncé jeudi 17 novembre avoir imposé une sanction de 800 000 euros à l’outil de messagerie et de voix sur IP. Dans son communiqué, la CNIL explique avoir constaté plusieurs manquements aux obligations imposées par le Règlement général sur la protection des données (RGPD) et avoir choisi en conséquence d’infliger une amende à la société américaine éditrice de l’application Discord.

Parmi les griefs retenus, la CNIL dit avoir constaté que l’entreprise ne supprimait pas les comptes de ses utilisateurs inactifs et ne disposait pas d’une politique claire sur la conservation des données utilisateurs. L’examen de la commission a ainsi révélé « 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans », soit autant de données conservées par Discord sans qu’une date de suppression soit indiquée. Or, le RGPD précise dans ses principes que les données personnelles collectées par un service peuvent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Suivant cette même logique, la CNIL reproche également à l’application de messagerie un défaut d’information des utilisateurs concernant ces mêmes durées de conservation des données. Discord s’est néanmoins mis en conformité au cours de la procédure et dispose maintenant d’une politique écrite de durée de conservation des données et prévoit une suppression automatique des comptes après deux ans d’inactivité.

Lire aussi : Article réservé à nos abonnés Clearview AI : « On mesure à la lecture du raisonnement de la CNIL l’insécurité juridique qui pèse sur nos données personnelles »

Une application qui reste ouverte sans prévenir

Outre la question de la conservation, la CNIL a également estimé que Discord manquait à son obligation de protection des données. En cause : le comportement de l’application lorsqu’un utilisateur clique sur le bouton « X » en haut à droite de l’écran. Si, dans la grande majorité des applications Windows, cliquer sur ce bouton ferme l’application, ce n’est pas le cas pour Discord, qui se contente de minimiser la fenêtre en arrière-plan, sans prévenir l’utilisateur que l’application fonctionne toujours, ce qui « peut conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal, alors qu’ils pensaient l’avoir quitté », note la CNIL. Ce comportement a lui aussi été corrigé par Discord par l’ajout d’une fenêtre pop-up avertissant l’utilisateur que le micro est toujours actif.

La CNIL a également estimé que les exigences de Discord pour la création d’un mot de passe étaient insuffisantes pour sécuriser l’accès au compte, et que l’application n’avait pas réalisé d’analyse d’impact relative à la protection des données. Deux points que Discord a corrigés en rehaussant la sécurité des mots de passe et en réalisant deux analyses d’impact, qui ont conclu que le traitement de données opéré par Discord « n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes », rapporte la CNIL.

Discord est une plate-forme américaine proposant un outil de messagerie doublé de salons vocaux. Principalement utilisé dans le monde du jeu vidéo en ligne, l’outil lancé en 2015 est de plus en plus utilisé par les communautés Internet pour échanger. Largement porté par la période de confinement, le nombre de comptes enregistrés sur l’application en 2021 était estimé à plus de 300 millions, pour 140 millions d’utilisateurs actifs sur la plate-forme.

Lire aussi : Article réservé à nos abonnés A l’école, l’éducation nationale tente de limiter l’emprise des Gafam

Le Monde